Bakgrund

En förändring som skett under de senaste decennierna är att organisationer, både privata och offentliga väljer att i allt högre grad fokusera på sin kärnverk-samhet. Istället för att till exempel sköta lokalvård och it-drift i den egna orga-nisationen anlitas externa leverantörer av dessa tjänster. I vissa fall väljer man även att lägga ut delar av sin kärnverksamhet på externa leverantörer som till exempel då ett privat vårdföretag får i uppdrag att driva en vårdcentral.

Mängden av tjänster som en organisation kan upphandla som stöd för den egna verksamheten ökar ständigt. I allt högre grad bygger tjänsterna på någon typ av informationshantering. Spannet är stort där vissa av tjänsterna innebär över-tagande av merparten av kundens informationshantering medan det i andra ytterkanten kan handla om att köpa en tjänst som fyller en mycket begränsad funktion hos kunden. Utvecklingen mot att allt mer av den tidigare interna verk-samheten nu sker via köp av tjänster gäller i hög grad för it-drift och övriga it-tjänster.

Samtidigt har kraven på informationssäkerhet ökat eftersom både offentliga och privata verksamheter blivit mer medvetna om beroendet av sin informations-hantering.

Informationssäkerhet syftar, som begreppet antyder, till att skydda information.

Med skydd avses att kunna upprätthålla rätt nivå av

• konfidentialitet

• riktighet

• tillgänglighet

• spårbarhet

Informationssäkerhet vid upphandling av it-relaterade tjänster handlar därmed om att styra upphandlingsprocessen så att den levererade tjänsten kan upprätt-hålla de krav på att informationen ska vara skyddad hos leverantören som har definierats i avtalet. Det innebär till exempel att informationen ska vara skyddad från obehörig insyn och förändring hos leverantören samt att informationen och möjligheten att hantera den finns hos kunden på den nivå som överenskommits.

Kunden ska också ha möjlighet att granska hur informationen har hanterats hos leverantören.

I tjänstesamhället är upphandling ett centralt moment för att styra verksamheten.

Detta gäller även för styrningen av informationssäkerhet och för att säkerställa att organisationens säkerhetsregler följs i alla de aktiviteter som man har ansvar för, även om dessa utförs av utomstående parter. Grundläggande för samtliga fall då informationshanteringen helt eller i delar läggs ut på en annan part är att ansvaret för informationen och dess säkerhet alltid ligger kvar hos informa-tionsägaren. För myndigheter, kommuner och landsting är denna princip också lagstadgad.

Att upphandla stöd i form av ett nytt system eller annan teknisk lösning för den interna verksamheten är kanske den aktivitet som ligger närmast till hands då begreppen ”upphandling” och ”informationssäkerhet” sammanförs. Upphandling av hela system är dock inte den enda situation då informationssäkerheten blir en viktig faktor. Det finns många tjänster som i sig inte innebär att en leverantör får i uppdrag att sköta delar av kundens informationshantering men som ändå kan påverka informationssäkerheten. Exempel på detta är lokalvård och olika typer av konsulttjänster där anställda hos de anlitade leverantörerna får möjlighet att ta del av eller på annat sätt påverka kundens informationsresurser. Denna väg-ledning kommer inte närmare att beskriva hur informationssäkerhetskrav kan ställas i sådana situationer men resonemang och metoder kan tillämpas vid alla upphandlingar där det kan antas att kundens informationssäkerhet kan påverkas.

Syftet med vägledningen är att ge stöd för säkerhet i upphandling av:

• It-system

• Outsourcing av it-relaterade tjänster

• Molntjänster

I fortsättningen kommer dessa tre typer av tjänster att kallas it-relaterade tjänster.

Observera att med begreppet outsourcing täcks även situationer när leverantörer i kundens lokaler utför tjänster av denna typ.

Vägledningen har ett livscykelperspektiv på informationshanteringen, det vill säga visa på att en upphandling inte är en enskild aktivitet begränsad i tid. Istället bör upphandlingen ses som startpunkten i en längre relation som innehåller bland annat en lång förvaltningsfas och en avveckling alternativt arkivering av information. Informationssäkerhet ingår som en viktig del i hela förloppet och kommer att påverka de ekonomiska förutsättningarna för relationen. Att inte integrera säkerhetsaspekterna i upphandlingen redan från början kan leda till mycket negativa konsekvenser under lång tid både för säkerheten och för ekonomin.

1.2.1 Samverkan kring it-relaterade tjänster

Det har blivit allt vanligare att organisationer istället för att upphandla eller ut-veckla själva går samman och skapar exempelvis ”partnermoln”. En annan variant är då myndigheter erbjuder varandra tjänster i form av till exempel servicecenter eller att hela myndigheter skapas för att tillhandahålla tjänster till andra myndigheter.

Inledning 9

Denna typ av lösningar innebär inte upphandling i vanlig bemärkelse men ur säkerhetssynpunkt är grundförhållandet detsamma; en organisation överlåter åt en annan part att sköta delar av organisationens informationshantering. Därmed kan principer i denna vägledning tillämpas även i denna typ av lösningar.

Av särskild betydelse är att klarlägga ansvar och roller samt fastställa processer för hur säkerhetskrav ska hanteras och hur uppföljning ska ske. Grundpremissen är att kundorganisationen, oavsett om denna är en partner eller inte, ska formulera sina säkerhetskrav genom informationsklassning. Kraven ska kunna matchas mot leverantörens utbud som måste finnas på säkerhetnivåer som motsvarar kundorganisationens krav.

1.2.2 Offentlig upphandling och LOU

För offentlig sektor finns särskild lagstiftning, lagen (2007:1091) om offentlig upphandling (LOU) som styr hur upphandling ska ske. LOU omfattar både upp-handling via enstaka avtal och så kallade ramavtal då leveransen kan avropas under en bestämd tid. Denna vägledningen går inte närmare in på hur LOU ska tillämpas, mer information går att inhämta bland annat på Konkurrensverkets webbplats³.

1.2.3 Säkerhetsskyddad upphandling

Innan en myndighet påbörjar en upphandling ska myndigheten pröva om upp-handlingen helt eller delvis ska säkerhetsskyddas, dvs. att det ska genomföras en så kallad upphandling med säkerhetsskyddade avtal (SUA). Det som avgör om en upphandling ska säkerhetsskyddas eller inte är om företaget kan få del av hemliga uppgifter i förfrågningsunderlaget eller under uppdragets utförande.

Hemliga uppgifter avser uppgifter som är hemliga enligt säkerhetsskyddslagen (1996:627).

Med säkerhetsskydd avses:

• skydd mot brott som kan hota rikets säkerhet

• skydd av hemliga uppgifter som rör rikets säkerhet

• skydd mot terrorism.

Om tjänsten som myndigheten ska upphandla innebär att hemliga uppgifter blir tillgängliga för leverantörer ska myndigheten enligt 8 § säkerhetsskyddslagen träffa ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. I denna vägledning kommer inte säkerhetsskyddade upphandlingar att vidare beröras, istället re-kommenderas den vägledning som har tagits fram av Säkerhetspolisen (SÄPO) i denna fråga⁴.

3. http://www.konkurrensverket.se/upload/Filer/Trycksaker/Infomaterial/Upphandlingsreglerna.pdf

4. http://www.sakerhetspolisen.se/download/18.34ffc68f1235b740c0680001063/Sakerhetsskyddadupphandlingen-vagledning.pdf

Inledning 11